קמפיין ריגול צפון קוריאני חדר ל-Google Play

כמה פעמים כבר קראנו אזהרות לא להוריד אפליקציות שאנחנו לא מכירים, מחשש לווירוסים ותוכנות זדוניות שיכולים להתחבא בהן? אתם בטח חושבים לעצמכם "לא אני", "אין סיכוי שאני אפול בזה". אז זהו, עכשיו באמת חשוב לחשוב פעמיים לפני שתלחצו על כפתור ההורדה בפעם הבאה, לפחות אם אתם משתמשים בחנות האפליקציות של Google Play. קבוצת האקרים, עם קשרים ישירים למשטר הצפון קוריאני, הצליחה להחדיר תוכנה זדונית לחנות האפליקציות Google Play, וכמה משתמשים כבר נפלו קורבן, כך על פי דיווח באתר TechCrunch.

על פי הדיווח, הרשת הצפון-קוריאנית הפעילה קמפיין ריגול בשם koSpy, שבו בנתה ושתלה תוכנות זדוניות שלפחות אחת מהן הצליחה לעלות לתוך חנות האפליקציות של גוגל ולהישאר שם לפרק זמן מסוים. כזכור, ההאקרים הצפון קוריאנים עושים גלים בשנים האחרונות ורק לאחרונה קושרו גם לשוד הקריפטו הגדול בהיסטוריה, במהלכו נשדדו 1.4 מיליארד דולר מ-Bybit.

על אף שמטרת הקמפיין טרם הובהרה סופית, מומחה מטעם חברת Lookout, אשר חיברה את דוח המעקב על הקמפיין, מסר ל-TechRunch כי "על פי מספר ההורדות, האפליקציה הזדונית כוונה לאנשים ספציפיים". הכוונה היא ככל הנראה לאזרחים דרום-קוריאנים.

לפי הדיווח, הקמפיין נועד לאסוף מידע רגש ובו הודעות SMS, יומני שיחות, נתוני מיקום של המכשיר, קבצים ותיקיות במכשיר, היסטוריות הקשות במקלדת המכשיר, רשימת האפליקציות המותקנות בו ופרטים על רשת ה-WiFi. כמו כן, KoSpy מסוגלת להקליט אודיו, לנצל את מצלמת המכשיר להקלטה וצילום תמונות וביצוע צילומי מסך. Lookout מצאה גם כי KoSpy השתמשה ב-Firestore, מסד נתונים בענן שנבנה על תשתית Google Cloud כדי לאחזר "הגדרות ראשוניות".

לטענת גוגל, הדוח שותף עימם והאפליקציות הזדוניות הוסרו, כולל דגימת KoSpy שהייתה בחנות האפליקציות של החברה.